lunes, 23 de noviembre de 2020

¿POR DÓNDE EMPEZAR CON ISO 37001?

ISO 37001 es el estándar internacional que ayuda a organizaciones de todos los tamaños, del sector público o privado, a implementar un sistema de gestión destinado a la prevención de prácticas de soborno y corrupción. 

La importancia de la norma está clara. Pero iniciar su implementación, teniendo en cuenta el propósito del estándar, puede requerir algo de cautela y entrañar algunas dificultades; lo que nos lleva a la pregunta de por dónde empezar con ISO 37001.

Proporcionamos algunas claves para ayudar a los profesionales del área a entender por dónde empezar con ISO 37001. De ese modo, en un futuro cercano, será posible obtener el mejor provecho de la implementación de la norma.

¿Por dónde empezar con ISO 37001?

ISO 37001 sigue el modelo de las más recientes publicaciones de ISO. Utiliza una estructura de alto nivel, dividida en 10 capítulos, a los que se suma el anexo A.

La norma exige, para empezar con ISO 37001, que la organización establezca una política antisoborno. En este sentido, la alta dirección ha de designar un responsable para la supervisión del cumplimiento de la norma.

Se deben proporcionar entrenamientos en todos los niveles organizacionales, realizar evaluaciones de riesgo de soborno e implementar un sistema de auditorías en todos los proyectos y en contratos de alianzas. Asimismo, deben desarrollarse procedimientos de control de las actividades financieras y comerciales, así como procedimientos de comunicación e investigación de no conformidades eventualmente detectadas.

Esto está bien para preparar un escenario adecuado para la llegada de la norma. Pero en la práctica, para empezar con ISO 37001, lo mejor es concentrarse en lo dispuesto en la cláusula 4, relativa al contexto de la organización.

La cláusula 4 para empezar con ISO 37001

Entender, delimitar y definir el contexto de la organización facilita la comprensión total de la norma, su implementación y garantiza el éxito del proyecto. Veamos punto por punto lo que solicita la cláusula 4 de ISO 37001 en este sentido:

Apartado 4.1 – La organización y su contexto

Cada organización es diferente y la forma en que combate los problemas de corrupción y soborno también lo es. Por supuesto, la forma de implementación de la nueva norma también lo será; pues dependerá de factores como la actividad de la organización, su estructura, su tamaño, el número de empleados, los países en los que opera, el modelo de negocio, si es pública o privada, etc.

Por tanto, el Sistema de Gestión Anticorrupción debe adaptarse a la organización para que resulte efectivo. Para que esto sea así, es necesario conocer y entender el contexto interno y externo de la organización.

En este sentido y siguiendo lo exigido por el apartado 4.1 de la norma es preciso determinar:
  • Naturaleza, escala y complejidad de las operaciones de la organización.
  • Modelo económico.
  • Organizaciones de las que depende, o sobre las que ejerce control, si es que existen.
  • Los socios o aliados comerciales.
  • La naturaleza y el alcance de la interacción con representantes de la administración pública, para las organizaciones privadas, y lo contrario para las del sector público.
  • Las obligaciones legales, reglamentarias, contractuales o profesionales que apliquen.
Todas estas especificaciones deben plasmarse en un documento que debe ser comunicado a las partes interesadas y a los encargados del área, pues este es un requisito obligatorio para obtener la certificación ISO 37001.

Apartado 4.2 – Las necesidades y expectativas de las partes interesadas

Todos los sistemas de gestión se implementan para satisfacer las necesidades de alguien: las partes interesadas en el sistema, que no siempre son fáciles de identificar.

Las partes interesadas tienen necesidades que puede suplir un sistema de gestión, pero también esperan algo, tienen expectativas. En el caso de una organización del sector privado, los organismos estatales de control, las agencias calificadoras, los clientes, los proveedores, los accionistas, son sin duda parte interesada en un Sistema de Gestión Anticorrupción.

Por eso, para empezar con ISO 37001, según el ítem 4.2, conviene determinar las partes interesadas y sus expectativas, y elaborar un documento en el que se deje registro de esta información.

Apartado 4.3 – Determinación del alcance del Sistema de Gestión Antisoborno

Para llevar a cabo esta determinación del el alcance del sistema, la norma ISO 37001 requiere que se consideren:
  • Los desafíos tanto internos como externos mencionados en el punto 4.1.
  • Los requisitos que ya aparecen en 4.2.
  • Los resultados de la evaluación de riesgos que figura en el apartado 4.5.
Al definir el alcance, la organización puede establecer qué áreas no presentan riesgo de corrupción y cuáles sí. Y por tanto, permite dedicar los esfuerzos del Sistema de Gestión Antisoborno allí donde el riesgo sea considerado por encima de “bajo”.

Apartado 4.4 – Sistemas de Gestión Anti soborno

ISO 37001 precisa un sistema de gestión contra el soborno proporcionado a la naturaleza y el alcance de los riesgos en la organización. Por ello, una vez quedan planteados los requisitos de la cláusula 4 de la norma, será mucho más sencillo pasar a las siguientes secciones.

En última instancia, ISO 37001 debe servir para implementar un sistema que se adapte a las operaciones de la organización, cumpla con la normativa legal y con las expectativas de los interesados.

Apartado 4.5 – Evaluación de riesgos de corrupción

Identificado el contexto y las partes interesadas y sus necesidades, lo procedente es realizar una evaluación de riesgos. En este punto, ISO 37001 se aparta un poco de la estructura común a las normas ISO de reciente publicación, al insertar una disposición que exige la evaluación de riesgos de corrupción.

La organización debe identificar los riesgos de corrupción a los que está expuesta, analizarlos, evaluarlos y priorizarlos de acuerdo con los protocolos usuales para estos casos, derivados del uso de herramientas como la matriz de riesgos, por ejemplo.

Finalmente, es preciso establecer controles para eliminar los riesgos que sean susceptibles de tal acción y mitigar los que corresponda. Al igual que en cualquier tarea de gestión de riesgos, algunos también podrán ser compartidos y otros simplemente tendrán que tolerarse.

Tomado de: https://www.compliance-antisoborno.com

No hay comentarios.: